Система распределения прав доступа к различным объектам в кластере Kubernetes используется злоумышленниками для создания стойких бэкдор-аккаунтов в кластерах Kubernetes и последующего захвата ресурсов для майнинга Monero.
RBAC (Role-Based Access Control) представляет собой систему управления доступом к API Kubernetes, которая позволяет администраторам определять, какие пользователи или сервис-аккаунты могут получить доступ к ресурсам и операциям API.
Эксперты из компании Aqua Security описали недавно обнаруженную кампанию RBAC Buster, от которой уже пострадали как минимум 60 неправильно настроенных кластеров Kubernetes.
В рамках этой кампании атакующие используют вредоносные политики управления доступом и «закрепляются» в скомпрометированных кластерах с их помощью. Таким образом, если в будущем неправильная конфигурация, которая обеспечила взломщикам первоначальный доступ, будет исправлена, они все равно сохранят доступ к кластеру.
Кампания была обнаружена, когда злоумышленники взломали один из Kubernetes-ханипотов Aqua Security, который специально был настроен неправильно, раскрывая ключи API и ключи доступа. Атака началась с того, что хакеры получили первоначальный доступ через неправильно сконфигурированный API. Затем они проверили наличие конкурирующих вредоносных майнеров на скомпрометированном сервере, а после использовали RBAC, чтобы окончательно закрепиться в системе.
«Злоумышленники создали новую ClusterRole с привилегиями уровня администратора, — объясняют исследователи. — Затем они создали ServiceAccount kube-controller в пространстве имен kube-system. После этого был создан ClusterRoleBinding, чтобы привязать ClusterRole к ServiceAccount, получив надежный и незаметный бэкдор».
На последнем этапе атаки злоумышленники создали DaemonSet для развертывания на всех узлах образа контейнера из Docker (kuberntesio/kube-controller:1.0.1). Этот контейнер, который был загружен 14 399 раз с момента его создания пять месяцев назад, содержит криптовалютный майнер для добычи Monero.
«Образ контейнера с именем kubernetesio/kube-controller — это тайпсквоттинг и попытка выдать себя за настоящую учетную запись kubernetesio, — пишут специалисты — Также образ имитирует популярный контейнер kube-controller-manager, который является критически важным компонентом, работающим в поде на каждом главном узле и отвечающим за обнаружение сбоев и реагирование на них».
Исследователям удалось извлечь из файла конфигурации адреса кошельков хакеров, и согласно этим данным, злоумышленники уже добыли около 5 XMR. Таким образом, потенциально атакующие могут «зарабатывать» примерно 200 долларов с каждого воркера в год.
